Cloudflare上的郵件轉發和反垃圾郵件功能

By James Qi, 2022年10月12日

Cloudflare郵件功能

我們自己域名後綴的郵箱以前都是用的Godaddy免費轉發功能，再早些年用過35互聯的郵箱轉發，後來國内的郵箱轉發功能大部分被停掉，就一直在用Godaddy的，既有1個可收發的郵箱，也有100個轉發郵箱：

Godaddy轉發郵箱設置

即使我們多數域名因為備案要求遷移回國内域名注冊商，但我還是保留了一個域名放在Godaddy，就是為了放置這些轉發郵箱，遷移到國内域名注冊商的域名隻需要把MX記錄依然指向Godaddy的域名服務器，就依然可以繼續使用轉發功能。

也有少數需要郵件收發的域名把MX記錄改為國内提供免費或者付費企業郵箱的地方，例如阿裡雲。

其實我們這些域名的郵件要求也很簡單，就是提供郵件轉發，基本上不需要發出郵件。

後來看到Cloudflare也免費提供這個郵件轉發的功能了，而且還有一些郵件安全方面的新功能：

現在郵件轉發功能已經提供給Cloudflare的收費或者免費賬号使用了，我最近在逐步把一些域名下的轉發郵箱從Godaddy改為Cloudflare，設置也很簡單：把以前的指向Godaddy的MX記錄删除，添加上Cloudflare的MX記錄：

配置 DNS
需要将 MX 和 TXT 記錄的組合添加到您的 DNS 中，電子郵件路由才能正常工作。MX 記錄允許您的域接收電子郵件。TXT 記錄配置為允許您的域向您的首選電子郵件提供商發送傳入電子郵件。
沖突記錄
在 example.com 的 DNS 上找到了下面列出的記錄。需要删除這些記錄，電子郵件路由才能正常工作。
記錄類型 主機名 優先級 值
MX example.com 5 smtp.secureserver.net
MX example.com 10 mailstore1.secureserver.net
必需記錄
example.com 上需要下面列出的記錄來啟用“電子郵件路由”。MX 記錄允許您的域接收電子郵件。TXT 記錄配置為允許您的域向您的首選電子郵件提供商發送傳入電子郵件。
記錄類型 主機名 優先級 值 狀态
MX example.com 98 route1.mx.cloudflare.net 丢失
MX example.com 21 route2.mx.cloudflare.net 丢失
MX example.com 11 route3.mx.cloudflare.net 丢失
TXT example.com v=spf1 include:_spf.mx.cloudflare.net ~all 丢失
您可以将這些記錄自動添加到您的 DNS 中，或在 DNS 頁面上手動創建新記錄。

按照上面的提示删除兩個secureserver.net的MX記錄，添加三個新的cloudflare.net的MX記錄就可以，而另外一條TXT記錄則是反垃圾郵件用的。

關于反垃圾郵件以及DNS的更多技術資料：

如果沒有在Cloudflare中進行任何郵件方面的設置，現在在DNS菜單項會有這樣的提示：

還需要執行幾個步驟才能完成設置。隐藏
使用向導添加 SPF 記錄并定義允許哪些郵件服務器為您的域發送郵件。新警報
使用向導添加 DMARC 策略并選擇未通過身份驗證的傳出郵件的處理方式。新警報
您的一些僅 DNS 記錄暴露了通過 Cloudflare 代理的 IP 地址。請确保對指向已代理記錄的所有 A、AAAA 和 CNAME 記錄進行代理，以确保您的源服務器受到完全保護。

如果已經設置了郵件轉發，則SPF就已經有了，剩下就是提示添加DMARC了，具體的辦法、策略都可以看上面的鍊接，我就不複制過來了。

需要注意的幾點：

如果要從自己的服務器上發出到某個域名的郵件，需要修改SPF，把服務器的IP地址加進去，例如TXT記錄："v=spf1 ip4:xxx.xxx.xxx.xxx include:_spf.mx.cloudflare.net ~all"
如果是完全不需要郵件相關功能的域名，參考：《如何保護不發送郵件的域》，設置：
TXT example.com "v=spf1 -all"
TXT *._domainkey "v=DKIM1; p="
TXT _dmarc "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s;"

目前已經把一部分域名進行了轉移和設置，觀察一段時間後再調整或者新增設置。可以在Cloudflare的後台看到郵件路由的處理：

Cloudflare電子郵件路由